MyDoom ワームに変種、対策会社へのアクセスを遮断

急速に感染を広げたワーム『W32.Novarg.A@mm』もしくは『MyDoom』の発生から2日も経たないうちに、オンラインセキュリティ各社はさらに危険性の高い変種の感染発生について警告を発した。新たな変種『MyDoom.B』は、ウイルス対策会社 Web サイトへのアクセスも遮断してしまう。

MyDoom.B は、Microsoft の Web サイトに分散型サービス不能化 (DDoS) 攻撃をしかけるようになっており、さらにホストファイルを書き換え、ウイルス対策会社の Web サイトへアクセスできなくすることで、エンドユーザー側の対応を阻害するため、悪質性は『MyDoom.A』(オリジナルの MyDoom) 以上という。

アクセス遮断の対象となるサイトは、Sophos Inc. や F-Secure をはじめ、McAfee、Symantec、Network Associates、そして Computer Associates など、セキュリティ専門会社を含めて計65サイトにのぼる。

MyDoom.A は Eメール12件に1件の割合でみつかるほど感染を広げている。同ワームは SCO Group のサイトに対して DDoS 攻撃をしかける機能を用意していることからも注目を集めた。また、感染システムにバックドアを作り、TCP ポート3127から3198でアクセスを待つ。

攻撃者はバックドアから感染したシステムに接続し、そのシステムを踏み台にしてネットワークリソースにアクセスする。さらにこのバックドアは、任意のファイルをダウンロードしたり、実行することもできるとウィルス対策各社は警告している。

同様に MyDoom.B もバックドア機能を持ち、異なる TCP ポートを開く。また MyDoom.A が用意したバックドアにアクセスし、自身の感染を拡大する機能も備えている。

セキュリティ会社 iDEFENSE の悪質コード担当ディレクタ Ken Dunham 氏は、「Mydoom.A 感染システムが、(MyDoom.B の感染により) Microsoft のサイトを攻撃することから、いやおう無く注目が集まる。Microsoft のサイトへの攻撃は、世界中のユーザーに対する、重大なサービス阻害につながり得る」と語った。